csdn被拖库了，600w用户密码泄露

righttang

现在网上泄露可以公开下载到的有。。。
7K7K 2000W数据库

嘟嘟牛__66277  

178游戏网

多玩网__800W

猫1000W

人人网500W

CSDN-中文IT社区-600万

[ 本帖最后由 righttang 于 2011-12-22 15:24 编辑 ]

魔头

649 woainima (0.0160726473755274)
650 44444444 (0.0160974126257208)
651 buzhidao (0.0161221778759142)

downflyer

不用费劲下载那个文件，有好心人已经做到网上去了，去查查你是不是中招了。
http://0bad.com/csdn.php
我有幸成为了这600万中的一个。

windix

Robin blog 上面写的解释已经删掉了，贴个google cache到的版本:
http://robbin.iteye.com/blog/1319958

CSDN网站帐号数据库安全性问题

博客分类： 互联网
csdnsql server互联网

今天去首都在线机房清点服务器和网络设备，忙了一天。回到公司听说网络流传CSDN帐号数据库的事情，也不断有朋友和会员问我这个事情，CSDN帐号数据库是不是明文保存密码，是否安全？考虑到大家对这个问题都非常关注，解释一下相关的情况：

CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。

我2010年来CSDN上班以后，接手了CSDN产品部门和研发部门。在对整个CSDN网站产品线的梳理过程中，发现CSDN帐号的安全性仍存在潜在的问题：虽然密码保存已经修改为加密密码，但老的保存过的明文密码未清理；帐号数据库运行在Windows Server上的SQL Server，仍有被攻击和挂马的潜在危险，所以我要求程序员将所有明文密码全部清空。

2010年9月我组建了新的研发团队重写CSDN用户管理功能，在《我来CSDN的这一年》 详细介绍了改造CSDN帐号管理passport的过程。新的passport产品在2011年元旦上线，使用了强加密算法，帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN帐号的各种安全性问题。

以下是大家可能关心的问题：

一、CSDN帐号数据库是明文保存密码吗？
2009年4月之前是明文，2009年4月之后是加密的，但部分明文密码未清理；2010年8月我来CSDN以后清理掉了所有明文密码。所以从2010年9月开始全部都是安全的，9月之前的有可能不安全。

二、我的CSDN帐号是安全的吗？需要修改密码吗？
1、如果你是2009年4月以前注册的帐号，且2010年9月之后没有修改过密码，请立即修改密码；
2、如果你是2009年4月以后注册的帐号，且2010年9月之后没有修改过密码，建议修改密码；
3、如果你是2010年9月以后注册的帐号，不必修改密码，但邮箱有泄露可能性；
4、如果你是2011年1月以后注册的帐号，帐号，密码和邮箱都非常安全；

三、CSDN帐号数据库现在是安全的吗？
历史遗留的安全隐患从2011年元旦起已经全部解决。CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库，进行了多方面的安全加固，密码加密强度也很高。

四、CSDN老的帐号数据库是怎么泄露的？
目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据，其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。

五、如果我的CSDN帐号已经被盗怎么办？
1、使用忘记密码功能，系统会重置密码，将新密码发到你的注册邮箱
2、给管理员发邮件，请管理员帮助找回帐号

六、我们将采取什么措施弥补此次问题？
1、我们将针对2010年9月之前的注册用户，提示修改密码，并提示用户把其他网站相同的密码也尽快修改
2、我们将针对所有弱密码用户进行提示，要求用户修改密码，并提示用户把其他网站相同的密码也尽快修改
3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码，并提示用户把其他网站相同的密码也尽快修改
4、我们将临时关闭CSDN用户登录，针对网络上面泄露出来的帐号数据库进行验证，凡是没有修改过密码的泄露帐号，全部重置密码。

我这个不是官方的公开声明，仅从个人工作角度来解释，CSDN网站公开声明会稍后公布，我希望自己代表CSDN向用户表示深深的歉意。

补充说明一点：

ITeye网站没有帐号密码被泄露的风险。ITeye网站得益于ruby on rails框架内置的特性，从一开始就使用了md5+salt的加密方式，从来没有保存过明文密码。且一直高度重视密码安全性问题：例如强制弱密码用户修改密码；密码三次输入不对就禁止登录。大家可以放心。

zyzbill

国内的技术水平不是一般的落后，csdn好像好多年前就是这样的技术架构了, 国内的做技术的不喜欢更新技术。

jh_hammer

。。。 这也行？？？

shuizhongfp

我以前曾经在国际上某知名IT公司下给一家媒体公司做网站，当时密码倒是加密了，不过就是取常数异或一下。那可是涉及到客户钱的情况下。

gowithoutyou

oh, yeah~
I am in~

HISOKA

转贴
昨天CSDN的用户数据库被人在网上公布。我下载分析了下里面的数据，得出了一些很有意思的现象。泄漏出来的数据只有三列：用户名、密码和邮箱。先来看看密码：

1.最常用的前50个密码

数量           密码

235037    123456789
212761    12345678
76349    11111111
46054    dearbook
34953    00000000
20010    123123123
17794    1234567890
15033    88888888
6995    111111111
5966    147258369
5890    aaaaaaaa
5555    987654321
5145    1111111111
5026    66666666
4686    a123456789
4096    11223344
3968    1qaz2wsx
3650    password
3649    xiazhili
3610    789456123
3505    qwertyuiop
3491    qqqqqqqq
3297    iloveyou
3287    qq123456
3282    87654321
3175    000000000
3100    asdfghjkl
3063    31415926
2985    12344321
2943    1q2w3e4r
2886    0000000000
2770    QAZWSXEDC
2752    123456abc
2613    abcd1234
2578    0123456789
2573    123654789
2540    12121212
2437    asdasdasd
2380    12341234
2348    110110110
2338    abc123456
2298    aa123456
2245    a12345678
2243    22222222
2219    a1234567
2218    1234qwer
2178    123456
2166    123321123
2165    qwertyui
2113    123456123

看看里面有没有你常用的？

2.密码类型

我按 全部是数字；全部是字母；字母和数字；含特殊符号 为密码归了下类：

纯数字密码：2894567  (1)

纯字母密码：795778    (2)

字母和数字：2506714  (3)

含特殊符号：231572    (4)

另外还有一条数据密码是空

密码越复杂就越安全，但是采用字母数字加特殊符号高强度密码的只有231572，约占总共6428632个用户的 三十分之一

3.密码长度

数量         长度

2337895    8
1550730    9
929948    10
627736    11
368567    12
167302    13
154473    14
84292    6
74882    15
49085    16
33951    5
18952    7
7448    4
6981    17
5852    18
5014    20
2278    19
1350    2
1336    3
559    1
1    0

程序员的安全意识还是比较强的，密码普遍长度在8-14位。但是奈何不了明文存储，也奈何不了数据库泄漏哇

4.有多少程序员用手机号做密码

大约有189307个密码是以手机号形式存在的，按照号码前三位分类：

号码前三位 数量     

139    21171
138    20996
135    20248
136    18444
137    15876
159    14347
158    12455
134    11076
130    11004
131    9441
150    8074
151    6737
133    6068
132    5880
152    3356
189    1102
155    1082
187    544
153    528
156    422
186    238
147    77
157    45
188    43
145    24
180    18
185    9
1349    2

看来程序员们还是最钟爱中国移动啊

5.有多少程序员用纪念日做密码

大约有437296个密码是以日期形式存在的，按数量排序如下



  时间     数量

1987    43307
1986    38670
1988    37917
1985    33117
1984    32219
1989    30284
1983    28630
1982    28432
1981    18052
1990    14514
1980    12691
1979    10528
1978    9251
1991    6391
1977    6343
1976    5186
1975    4083
2008    3923
1974    3523
1992    3260
2006    3158
2005    2978
2004    2909
2002    2815
1973    2815
2009    2691
2003    2539
1972    2504
1993    2373
2007    2290

如果认为密码就是该用户的生日，那么可以看出一些有意思的事情：80后是程序员的主力，85后已经崛起。

以200X为年份的，有可能是有了宝宝的程序员，以宝宝的生日为密码。

6.程序员们都用什么邮箱

下面是排名前30的邮箱提供商：

邮箱后缀    数量

qq.com    1976001
163.com    1766935
126.com    807818
sina.com    351750
yahoo.com.cn    205486
hotmail.com    202965
gmail.com    186809
sohu.com    104756
yahoo.cn    87040
tom.com    72353
yeah.net    53312
21cn.com    50795
vip.qq.com    35115
139.com    29201
263.net    24830
sina.com.cn    19169
live.cn    18918
sina.cn    18599
yahoo.com    18454
foxmail.com    16430
163.net    15279
msn.com    14217
eyou.com    13387
yahoo.com.tw    10809
huiseo.cn    8492
csoftmail.cn    7121
citiz.net    6617
vip.sina.com    5379
189.cn    5004
etang.com    4261

网易邮箱 依旧是国内邮箱的老大，QQ正在快马追上。

totem

我已经在里面找到我的用户名和密码了......

rasputin

我连这个网站都没去过

gugu10

这下搞大了，国内搞技术的都在CSDN注册过吧

Poweregg

刚改了密码
国内网站真扯淡
靠！

Poweregg

。。。。。。。。。。。。。
链接
http://x.com.sb/files/2011/1222/all.zip

鱼羊鲜

发生什么都不会吃惊了

dcc82

国内的很多网站程序在安全设计中就存在很令人匪夷所思的问题
我经常碰到过注册成功后, 给你发送一个确认邮件, 上面写着用户名和密码
然后如果我密码忘记了, 然后recover password, 又是给你一封邮件,告诉你原来的密码
密码怎么可以就这样告诉的? 在任何时刻,密码应该是绝对不能明码显示的,重置密码是绝对不能告诉你原密码再去改新密码,这些都是完全没有意义的.

wmwbull

怎么办。。。怎么办。。。无语。。。。。。

bulaohu

CSDN的解释也太丢人了，原来搞了半天都是别人的错，丫怎么就不提是哪个猪头决定明文存储密码的呢

http://www.cnbeta.com/articles/168351.htm

针对2011年12月底CSDN部分用户数据库泄露事件，CSDN创始人蒋涛在YOCSEF论坛上表示，在发生数据库泄露后，CSDN邀请相关安全公司对网站系统进行了全面检测，目前已经给出了安全审核结论。据蒋涛介绍，根据杭州安恒出具的安全审计报告，此次CSDN的部分用户数据库泄露，主要原因有四点：

第一是开源CMS系统等第三方系统存在漏洞，导致CSDN系统存在安全风险；二是应用程序存在跨站脚本漏洞；第三，网站存在大量系统后台认证漏洞，如弱口令及暴露的后台等；CSDN已经停用但还在线上的老系统也是导致此次数据泄露的原因之一。

为了减小数据泄露的风险，提高网站系统的安全性，CSDN目前正在申请信息系统等级保护，以接受信息安全监管部门的监督管理。蒋涛表示，CSDN也将强化网站核心服务的安全，而网站非核心的服务将与核心业务进行隔离，以减小系统安全风险。同时，CSDN也将采取相关措施，加大黑客获得数据的成本，降低网站数据对黑客的价值。据了解，CSDN也将在网站后台引入安全审核机制，从内部杜绝数据泄露的可能性。

蒋涛同时建议，在国内建立共享安全技术联盟，相关成员能够共享安全公共知识库，同时提升开发人员的安全技术技能，以保护网站数据的安全。

文/搜狐IT

bulaohu

黑客被抓了，等出来的时候应该叫青紫客了吧？

CSDN泄密门两名黑客已经落网

zhangxiaolu发布于 2012-01-10 16:43:06|8141 次阅读 字体：大 小 打印预览      


感谢匿名人士的投递
新闻来源:南京龙虎网 南京日报 作者：朱珠
昨天，几乎让互联网裸奔的“CSDN泄密门”事件传出最新消息，两名涉案黑客已经被抓，还有部分人员尚未落网。记者昨日联系到北京市公安局外宣处，工作人员表示，目前已有两名涉案黑客被抓，由于部分涉案人员没有归案，具体案情尚不便向外界透露。

日前，CSDN网站数据库遭黑客入侵，600万用户注册邮箱和密码被泄露。此后人人网、天涯社区、百合网等众多知名网站数千万网友个人信息相继被泄露，更有人将其做成压缩包，上传至网络供人下载。国内网站纷纷“沦陷”，大有“裸奔”之势。

记者昨日联系到北京市公安局外宣处，工作人员表示，目前已有两名涉案黑客被抓，由于部分涉案人员没有归案，具体案情尚不便向外界透露。北京市公安局外宣处相关负责人员告诉记者，此次泄密与实名制无关。